Checklist for Securing PHP Configuration | Ayman Hourieh's Blog

• allow_url_fopen = Off
• register_globals = Off
• open_basedir = /var/www/htdocs/files
• safe_mode = Off
• safe_mode_gid = On
• safe_mode_exec_dir = /var/www/binaries
• safe_mode_allowed_env_vars = PHP_
• max_execution_time = 30 ; Max script execution time
• max_input_time = 60 ; Max time spent parsing input
• memory_limit = 16M ; Max memory used by one script
• upload_max_filesize = 2M ; Max upload file size
• post_max_size = 8M ; Max post size
• display_errors = Off
• log_errors = On
• expose_php = Off

  在某些地方顯示執行 PHP 的資訊 (例：在 HTTP Header 裡加上一行 X-Powered-By: PHP/5.2.4 及 Server: Apache/2.0.59 (Win32) PHP/5.2.4 )。

• <FilesMatch "\.(inc|.*sql|.*~)$">
    Order allow,deny
    Deny from all
  </FilesMatch>
  

存儲密碼

• 絕對不要用明文儲存密碼！
• 一個常見儲存密碼的方式，是用雜湊函數(如 MD5、SHA1) 計算出的雜湊值，來取代儲存密碼明文在資料庫裡。使用時(如使用者登入)只比對雜湊值而不直接取用密碼原文，可以避免被有心人士取得密碼表後直接拿去利用。
• 但是，若只是直接單純使用 MD5 算出來的值，有可能利用 Rainbow Tables (預先運算的值所建立資料表)快速推算出原值(或 collision)。
• 對欲計算雜湊值的字串“加料”，是一個對程式變動較少的解決方法。類似的方法不少，但簡單來說就是用兩個步驟以上處理密碼。
• Blog.XDite.net » 淺談 BBS 資料的安全性
• 石頭閒語:在 C 程式中使用 MD5 library 及其應用 - 樂多日誌
• Rainbow Hash Table 與密碼破解 | 資安之眼
• 對於一般的使用者：
• 可以的話，使用最少 8 字元以上的密碼。
• 可以的話，在密碼中加入特殊字元，即除了英文字母與數字[^A-Za-z0-9]以外的的字元(如!@#$%^&*)。
• 避免使用單字、常見詞彙或其組合，來做為密碼。
• 在不同的地方(網站或應用程式等)使用不同的帳號、密碼。

關閉特定 Ports

• 查詢目前的網路連線 netstat.exe -an 。
• 關閉 123(ntp) port ，停用 Windows Time Service。
• 關閉 135(epmap) port ，目前還沒試成，替代方案是用 IP Security Policies 阻擋。
  1. Control Panel
  2. Administrative Tools
  3. Local Security Policy
  4. Right Click IP Security Policies on Local Computer
  5. Create IP Security Policy...
  6. Un-select Activate the default response rule
• 關閉 445(microsoft-ds) port ，修改 registry (如下)後重開機。

• Windows Registry Editor Version 5.00
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
  "SMBDeviceEnabled"=dword:00000000
  

• Port Assignments for Well-Known Ports

conime.exe

• 網路上說法太多了，無法確認。其中一種說法是亞洲語系的 Windows 系統有 conime.exe 是正常的，但我用的是英文版的…。
• 僅刪除 %SystemRoot%\system32\conime.exe 的話， winlogon.exe 會立即將其從%SystemRoot%\system32\dllcache\conime.exe 寫回。

taso.exe

• 網路上找到的資料以韓文為主，沒輒。TASO.EXE, Prevx
• 在我 msconfig - Stratup 裡 taso 是寫在 temp\taso.exe ，但我的 temp 是放在 ramdisk 裡的(一關機就清掉了)，所以目前死無對証…。

kavo.exe

• 曬月亮的魚 這隻木馬還真麻煩－Kavo.exe－這篇裡有詳述。感恩啊～。
• 病徵之一是無法改變“顯示系統隱藏檔”的選項。
• 病徵之二是 msconfig - Startup 裡多了 kavo 一項。
• 用attrib改變各分割區根目錄下的 autorun.inf 、 ntdelect.com ，以及 %systemroot%\system32\kavo*.* 的檔案屬性後予以刪除。
• 注意 NTDETECT.COM 為系統檔案，勿誤刪。
• 通常 kavo0.dll 處於已執行狀態，掛於 explorer.exe 下。

病毒三連擊！

• 一次中三個病毒…最近“抓”太兇啦…
• 一開始是因為隨身碟被掃到有毒，不過因為懶的弄，所以放了幾天沒處理。直到最近 IE 怪怪的，才想要清(結果竟然跟 IE 的問題無關…)。
• 兩個簡易檢查有無中毒的地方，執行中的程序(Processes)及開機自動執行的設定(執行 msconfig.exe 裡 Startup 項目)。

在資料庫裡儲存密碼

在儲存密碼時，可以用Hash函式(如MD5, SHA1)計算出來的值取代明文，來存入資料庫裡，這是我從MySQL的架構裡偷學來的。

我個人認為，這樣可以減少一點使用者資料被有管理權限的人濫用的風險。而且當真的不小心密碼洩露出去，也不能直接拿來用。

缺點是需要耗費CPU Time。額外的好處是，不用去管使用者輸入的密碼格式(特殊字元、大小寫或長度)，反正Hash過後都是唯一的鍵值(理論上)。

• 這也是建議使用者在每個站使用不同密碼的原因，如果你註冊在某個站的資料被管理者盜用，不只是在該站的資料會有損失，也有可能帳號密碼被拿去其它網站嘗試登入。

不要在網路上使用真名

• 傳說中的法師是不會讓別人知道他真正的名字，以免被其它的法師下咒。

• 在網路上張貼文章或資料時，要注意不要使用別人真實的姓名，也不要將別人真實的姓名跟照片放在一起。
• 除非是用在正式的場合，如引用論文等，或是經過他人的同意。
• 因為你並無法去限制誰能看到那些放在網路上資料，其中包括網站資管理者。

利用 Task Scheduler 取得 System 權限

• 步驟簡述
  1. run CLI
  2. at 20:07 /interactive "cmd.exe"
  3. kill explorer.exe
  4. run explorer.exe
• 用這招需要先啟動 Task Scheduler 服務，這服務預設是自動啟動的，所以在安裝完系統後，沒有使用的必要的話，能關的服務就關掉吧。
• 我愛 Windows…

破壞光碟

• 當要丟棄光碟之前，可以用膠帶貼在光碟標籤那面再撕下，或用硬物(像是鑰匙)刮花，可以避免資料被有心人士利用。
• CD-R の壊し方